本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Systems Manager 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 AWS Systems Manager (SSM) 服務和資源。
這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【SSM.1】 Amazon EC2執行個體應該由 管理 AWS Systems Manager
相關要求:PCIDSSv3.2.1/2.4、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-15(2)、 NIST.800-53.r5 SA-15(8) NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)
類別:識別 > 清查
嚴重性:中
評估的資源: AWS::EC2::Instance
必要的 AWS Config 錄製資源:AWS::EC2::Instance
、 AWS::SSM::ManagedInstanceInventory
AWS Config 規則:ec2-instance-managed-by-systems-manager
排程類型:已觸發變更
參數:無
此控制項會檢查您帳戶中已停止和執行的EC2執行個體是否由 管理 AWS Systems Manager。Systems Manager 是 AWS 服務 ,可用來檢視和控制您的 AWS 基礎設施。
為了協助您維護安全性和合規性,Systems Manager 會掃描已停止和執行的受管執行個體。受管執行個體是設定為與 Systems Manager 搭配使用的機器。Systems Manager 接著會針對偵測到的任何政策違規進行報告或採取修正動作。Systems Manager 也可協助您設定和維護受管執行個體。
若要進一步了解,請參閱 AWS Systems Manager 使用者指南。
修補
若要使用 Systems Manager 管理EC2執行個體,請參閱AWS Systems Manager 《 使用者指南》中的 Amazon EC2 主機管理。在組態選項區段中,您可以保留預設選項,或視需要變更這些選項,以用於偏好的組態。
【SSM.2】 Systems Manager 管理的 Amazon EC2執行個體在修補程式安裝COMPLIANT後應具有 的修補程式合規狀態
相關要求:NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv3.2.1/6.2、PCIDSSv4.0.1/2.2.1、PCIDSSv4.0.1/6.3.3
類別:偵測 > 偵測服務
嚴重性:高
資源類型: AWS::SSM::PatchCompliance
AWS Config 規則:ec2-managedinstance-patch-compliance-status-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Systems Manager 修補程式合規的合規狀態,是否在執行個體上安裝修補程式COMPLIANT
NON_COMPLIANT
之後。如果合規狀態為 ,則控制項會失敗NON_COMPLIANT
。控制項只會檢查由 Systems Manager Patch Manager 管理的執行個體。
根據需要修補您的EC2執行個體可減少您 的攻擊面 AWS 帳戶。
修補
Systems Manager 建議使用修補程式政策來設定受管執行個體的修補。您也可以使用 Systems Manager 文件來修補執行個體,如下列程序所述。
修補不相容的修補程式
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 -
針對節點管理,選擇執行命令,然後選擇執行命令。
-
選擇 AWS-RunPatchBaseline 的選項。
-
將 Operation (操作) 變更為 Install (安裝)。
-
選擇手動選擇執行個體,然後選擇不合規的執行個體。
-
選擇執行。
-
命令完成後,若要監控修補執行個體的新合規狀態,請在導覽窗格中選擇合規。
【SSM.3】 由 Systems Manager 管理的 Amazon EC2執行個體的關聯合規狀態應為 COMPLIANT
相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCIDSSv3.2.1/2.4、PCIDSSv4.0.1/2.2.1、PCIDSSv4.0.1/6.3.3
類別:偵測 > 偵測服務
嚴重性:低
資源類型: AWS::SSM::AssociationCompliance
AWS Config 規則:ec2-managedinstance-association-compliance-status-check
排程類型:已觸發變更
參數:無
此控制項會檢查 AWS Systems Manager 關聯合規的狀態是 COMPLIANT
還是在執行個體上執行關聯NON_COMPLIANT
之後。如果關聯合規狀態為 ,則控制項會失敗NON_COMPLIANT
。
State Manager 關聯是指派給受管執行個體的組態。該組態會定義您想在執行個體上維持的狀態。例如,關聯可以指定必須在您的執行個體上安裝和執行防毒軟體,或必須關閉特定連接埠。
建立一或多個狀態管理員關聯後,您便可立即取得合規狀態資訊。您可以在 主控台中檢視合規狀態,或回應 AWS CLI 命令或對應的 Systems Manager API動作。對於關聯,Configuration Compliance 會顯示合規狀態 (Compliant
或 Non-compliant
)。它也會顯示指派給關聯的嚴重性層級,例如 Critical
或 Medium
。
若要進一步了解 State Manager 關聯合規,請參閱AWS Systems Manager 《 使用者指南》中的關於 State Manager 關聯合規。
修補
失敗的關聯可以與不同物件相關,包括目標和 Systems Manager 文件名稱。若要修復此問題,您必須先檢視關聯歷史記錄來識別和調查關聯。如需檢視關聯歷史記錄的說明,請參閱AWS Systems Manager 《 使用者指南》中的檢視關聯歷史記錄。
調查之後,您可以編輯關聯以修正已識別的問題。您可以編輯關聯來指定新的名稱、排程、嚴重性層級或目標。編輯關聯之後, 會 AWS Systems Manager 建立新的版本。如需編輯關聯的指示,請參閱AWS Systems Manager 《 使用者指南》中的編輯和建立新版本的關聯。
【SSM.4】 SSM 文件不應公開
相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)
類別:保護 > 安全網路組態 > 資源不可公開存取
嚴重性:嚴重
資源類型: AWS::SSM::Document
AWS Config 規則:ssm-document-not-public
排程類型:定期
參數:無
此控制項會檢查帳戶擁有 AWS Systems Manager 的文件是否為公有文件。如果擁有擁有者的 Systems Manager 文件Self
是公開的,則此控制會失敗。
Systems Manager 文件若為公有,可能會允許意外存取您的文件。公有 Systems Manager 文件可以公開有關您的帳戶、資源和內部程序的寶貴資訊。
除非您的使用案例需要公開共用,否則建議您封鎖由 擁有之 Systems Manager 文件的公開共用設定Self
。
修補
若要封鎖 Systems Manager 文件的公開共用,請參閱AWS Systems Manager 《 使用者指南》中的封鎖SSM文件的公開共用。